专利名称:一种配置传输和数据传输的方法、系统及设备的制作方法
技术领域:
本发明涉及无线通信技术领域,特别涉及一种配置传输和数据传输的方法、系统及设备。
背景技术:
LTE-A (Long Term Evolution-Advanced,长期演进升级)系统引入 Relay (中继)节点后,定义了以下节点、接口和链路,如图I所示,
节点包括
Donor-eNB (施主基站)与RN(中继节点)设备有无线连接的eNB (基站),简写为 DeNB ;
Relay-Node (中继节点)存在于DeNB与UE (用户设备)之间的实体,简写为RN设备;
UE :用户设备。
接口包括
Un接口RN设备和DeNB之间的接口 ;
Uu接口 UE和基站设备之间的接口。
无线链路包括
Backhaul link :回程链路,基站与核心网之间的链路,包含Un接口对应的链路;
Access link :接入链路,与Uu接口对应的链路;
引入RN设备后的下行传输到达RN设备下UE的数据需要由DeNB经下行回程链路发送到RN设备,再由RN设备经下行接入链路发送到UE。
引入RN设备后的上行传输RNS|TUE的上行传输先由UE经上行接入链路发送到RN设备,再由RN设备经回程链路发送到DeNB。
为了保护用户通信安全,Uu 口上制定了加密、完整性保护等安全措施。加密的目
的是使第三方无法获知消息的本来意义,完整性保护的目的是使接收方确信收到的消息的真实性,即没有被非法篡改过。在现有技术中,RRC(Radio Resource Control,无线资源控制)消息必须采取完整性保护,用户面数据不采取完整性保护。目前,RRC消息的加密和用户数据的加密是一起激活的,且采用相同的加密算法。而目前的LTE (Long Term Evolution,长期演进)/LTE-A系统安全机制要求SlAP (SI Application protocol, SI应用协议)消息和X2AP消息必须进行加密和完整性保护。但是,两者在Un 口上是放在DRB (数据无线承载)上传输的,而对于DRB的加密并不是必须的。因此SlAP消息和X2AP消息在Un 口可能得不到加密保护,从而降低了传输SlAP消息和X2AP消息的安全性。综上所述,目前在Un 口上传输SlAP消息和X2AP消息的安全性比较低
发明内容
本发明实施例提供的一种配置传输和数据传输的方法、系统及设备,用以解决现有技术中存在的在Un 口上传输SlAP消息和X2AP消息的安全性比较低的问题。
本发明实施例提供的一种配置传输的方法,包括
网络侧设备为不同类型的数据选择用于加密数据的算法;
所述网络侧设备将所述算法通知数据传输设备。
本发明实施例提供的一种数据传输的方法,包括
数据传输设备接收网络侧设备通知的用于加密数据的算法;
所述数据传输设备根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
本发明实施例提供的一种配置传输的网络侧设备,包括
处理模块,用于为不同类型的数据选择用于加密数据的算法;
通知模块,用于将所述算法通知数据传输设备。
本发明实施例提供的一种数据传输的设备,包括
接收模块,用于接收网络侧设备通知的用于加密数据的算法;
第二传输模块,用于根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
本发明实施例提供的一种数据传输的系统,包括
网络侧设备,用于为不同类型的数据选择用于加密数据的算法,将所述算法通知数据传输设备;
数据传输设备,用于接收网络侧设备通知的用于加密数据的算法,根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
由于能够对Un 口上传输的不同类型的数据分别进行加密,从而提高了在Un 口上传输SlAP消息和X2AP消息的安全性;进一步提高了系统的性能。
图I为背景技术中LTE-A系统的结构示意图2为本发明实施例数据传输的系统结构示意图3为本发明实施例数据传输的系统中网络侧设备的结构示意图4为本发明实施例数据传输的系统中数据传输设备的结构示意图5为本发明实施例配置传输的方法流程示意图6为本发明实施例数据传输的方法流程示意图。
具体实施例方式本发明实施例网络侧设备为不同类型的数据选择用于加密数据的算法,数据传输设备根据网络侧设备选择的算法对数据进行加密,并发送。由于能够对Un 口上传输的不同类型的数据分别进行加密,从而提高了在Un 口上传输SlAP消息和X2AP消息的安全性。其中,本发明实施例的算法包括空算法和安全算法。如果通知某个类型采用空算法,则表示该类型的数据不需要加密。本发明实施例的安全算法包括但不限于下列算法中的至少一种
加密算法、完整性保护算法。其中,本发明实施例的数据类型包括但不限于下列数据中的至少一种RRC消息、用户数据、应用层数据以及OAM(Operations and Maintenance,运行和维护)数据。下面结合说明书附图对本发明实施例作进一步详细描述。如图2所示,本发明实施例数据传输的系统包括网络侧设备10和数据传输设备 20。网络侧设备10,用于为不同类型的数据选择用于加密数据的算法,将算法通知数据传输设备20 ;数据传输设备20,用于接收网络侧设备10通知的用于加密数据的算法,根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。较佳地,为了节省传输资源,网络侧设备10可以只通知算法对应的标识,数据传输设备20根据标识和算法的对应关系确定网络侧设备10通知的标识对应的具体的算法。较佳地,网络侧设备10可以通过RRC消息将算法通知数据传输设备20。在实施中,网络侧设备10将算法通知数据传输设备20的方式有很多种,下面列举几种方式一、网络侧设备10只通知具体的算法。具体的,网络侧设备10根据类型和算法的对应关系,确定需要加密的类型对应的算法,然后将算法通知数据传输设备20 ;相应的,数据传输设备20根据类型和算法的对应关系,确定网络侧设备10通知的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及用收到的算法对收到的对应类型的数据进行解密。在实施中,网络侧设备10和数据传输设备20采用的类型和算法的对应关系可以预先在协议中规定;也可以由高层通知网络侧设备10和数据传输设备20 ;还可以由网络侧设备10通知数据传输设备20。不管采用上述哪种方式,只要保证网络侧设备10和数据传输设备20采用相同的类型和算法的对应关系即可。方式二、网络侧设备10通知具体的算法和对应的类型。具体的,网络侧设备10可以先选择具体的算法,然后将选择的算法与对应的类型通知数据传输设备20 ;网络侧设备10还可以先选择具体的类型,然后将选择的类型与对应的算法通知数据传输设备20 ;相应的,数据传输设备20根据收到的算法对需要发送的对应类型的数据进行加密,以及根据收到的算法对收到的对应类型的数据进行解密。较佳地,网络侧设备10还可以将用于承载加密数据的DRB的信息通知数据传输设备20 ;相应的,数据传输设备20根据网络侧设备10通知的DRB的信息确定用于承载加密数据的DRB,并通过确定的用于承载加密数据的DRB发送进行加密的数据。较佳地,网络侧设备10根据所述算法对需要发送的对应类型的数据进行加密,以及根据所述算法对收到的对应类型的数据进行解密。在实施中,网络侧设备10和数据传输设备20根据数据类型对应的算法确定密钥, 网络侧设备10根据密钥和算法,向数据传输设备20发送对应类型的数据,并根据密钥和算法对接收的来自数据传输设备20的对应类型的数据进行解密;数据传输设备20根据密钥和算法,向网络侧设备10发送对应类型的数据,并根据密钥和算法对接收的来自网络侧设备10的对应类型的数据进行解密。比如应用层数据对应加密算法,则网络侧设备10和数据传输设备20在收到应用层数据后,利用加密算法进行解密;在需要发送应用层数据后,利用加密算法进行加密后发送。较佳地,本发明实施例的数据传输设备20可以是RN设备,还可以是用户设备。如图3所示,本发明实施例数据传输的系统中的网络侧设备包括处理模块300和通知模块310。处理模块300,用于为不同类型的数据选择用于加密数据的算法;通知模块310,用于将算法通知数据传输设备。较佳地,通知模块310将选择的算法与对应的类型通知数据传输设备。较佳地,通知模块310将选择的类型与对应的算法通知数据传输设备。较佳地,通知模块310将用于承载加密数据的DRB的信息通知数据传输设备。较佳地,本发明实施例数据传输的系统中的网络侧设备还可以进一步包括第一传输模块320。第一传输模块320,用于根据算法对需要发送的对应类型的数据进行加密,以及根据算法对收到的对应类型的数据进行解密。如图4所示,本发明实施例数据传输的系统中的数据传输设备包括接收模块400 和第二传输模块410。接收模块400,用于接收网络侧设备通知的用于加密数据的算法;第二传输模块410,用于根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。较佳地,接收模块400接收网络侧设备选择的算法与对应的类型,或接收网络侧设备选择的类型与对应的算法;相应的,第二传输模块410根据收到的算法,对需要发送的对应类型的数据进行加密,以及根据收到的算法,对收到的对应类型的数据进行解密。较佳地,第二传输模块410根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对收到的对应类型的数据进行解密。较佳地,第二传输模块410根据网络侧设备通知的DRB的信息确定用于承载加密数据的DRB ;通过确定的用于承载加密数据的DRB发送进行加密的数据。基于同一发明构思,本发明实施例中还提供了一种配置传输的方法,由于该方法解决问题的原理与数据传输的系统中的网络侧设备相似,因此该方法的实施可以参见设备的实施,重复之处不再赘述。如图5所示,本发明实施例配置传输的方法包括下列步骤步骤501、网络侧设备为不同类型的数据选择用于加密数据的算法;步骤502、网络侧设备将算法通知数据传输设备。较佳地,为了节省传输资源,步骤502中,网络侧设备可以只通知算法对应的标识。较佳地,网络侧设备可以通过RRC消息将算法通知数据传输设备。在实施中,网络侧设备将算法通知数据传输设备的方式有很多种,下面列举几种方式一、网络侧设备只通知具体的算法。具体的,网络侧设备根据类型和算法的对应关系,确定需要加密的类型对应的算法,然后将算法通知数据传输设备。方式二、网络侧设备通知具体的算法和对应的类型。具体的,网络侧设备可以先选择具体的算法,然后将选择的算法与对应的类型通知数据传输设备;网络侧设备还可以先选择具体的类型,然后将选择的类型与对应的算法通知数据传输设备。较佳地,网络侧设备还可以将用于承载加密数据的DRB的信息通知数据传输设备。较佳地,步骤502之后还可以进一步包括网络侧设备根据算法对需要发送的对应类型的数据进行加密,以及根据算法对收到的对应类型的数据进行解密。如图6所示,本发明实施例数据传输的方法包括下列步骤步骤601、数据传输设备接收网络侧设备通知的用于加密数据的算法;步骤602、数据传输设备根据算法对需要发送的数据进行加密,以及对收到的数据进行解密。较佳地,为了节省传输资源,网络侧设备可以只通知算法对应的标识,数据传输设备根据标识和算法的对应关系确定网络侧设备通知的标识对应的具体的算法。较佳地,若网络侧设备只通知具体的算法,数据传输设备20根据类型和算法的对应关系,确定网络侧设备通知的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及用收到的算法对收到的对应类型的数据进行解密。较佳地,若网络侧设备通知算法和对应的类型,数据传输设备根据收到的算法对需要发送的对应类型的数据进行加密,以及根据收到的算法对收到的对应类型的数据进行解密。较佳地,数据传输设备根据网络侧设备通知的DRB的信息确定用于承载加密数据的DRB,并通过确定的用于承载加密数据的DRB发送进行加密的数据。下面列举三个例子对本发明的方案进行说明。例I :I. DeNB在Security Mode Command (安全模式命令)消息中携带用于对特定类型的数据使用的安全算法标识。其中,DeNB可以根据需要保护的特定数据类型的数量,在消息中携带多个安全算法标识。比如,为RRC和用户面数据选择空算法,即不加密,同时为特定类型的数据选择非空算法;或者,为RRC和用户面数据选择加密算法,同时为特定类型的数据选择完整性保护算法,从而可以实现不同安全级别的处理。
2. RN根据收到的上述安全算法计算出密钥,并返回Security Mode Complete (安全模式完成)消息。3. DeNB利用RRC消息告知RN设备哪些DRB需要对特定类型的数据(包括应用层数据和OAM数据)进行安全保护,比如利用RRC Connection Reconfiguration (RRC连接重配置)消息或RN Connection Reconf iguration (RN连接重配置)消息。4. RN设备根据收到的RRC消息中的指示,对相应的DRB进行配置激活安全保护,并返回RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。随后RN设备和DeNB将需要安全保护的特定数据类型放在激活了相应安全保护的 Un DRB上传输,比如SlAP信令和X2AP信令,或是OAM数据等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。这些DRB并不限制用来传输其他类型的数据。例2:I. DeNB在Security Mode Command消息中携带加密算法和完整性保护算法,并且添加指示信息,指示这些算法适用于哪个(或哪些)类型的数据。比如,通过bitmap(比特位图)的方式,第一比特针对RRC消息,第二比特针对用户面数据,第三比特针对其他特定类型的数据。比特值为0表示不应用该安全算法,比特值为I表示应用该安全算法。这样就可以对RRC消息、用户面数据、其他特定类型的数据中的一种或多种分别激活安全保护。2. RN设备根据收到的上述安全算法计算出各个数据类型使用的密钥,并返回 Security Mode Complete 消息。3. DeNB利用RRC消息告知RN哪些DRB需要激活安全保护,比如利用RRC Connection Reconfiguration 消息或 RN Connection Reconfiguration 消息。4. RN设备根据收到的RRC连接重配置中的指示,对相应的DRB进行配置激活加安全保护,并返回RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。随后RN设备和DeNB将需要安全保护的特定数据类型放在激活了相应安全保护的 Un DRB上传输,比如SlAP信令和X2AP信令,或是OAM数据等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。例3:I. DeNB向RN发送Security Mode Command消息,其中的加密算法不能为空算法。2. RN根据收到的上述加密算法计算出加密密钥,并返回Security Mode Complete 消息。3. DeNB利用RRC消息告知RN哪些DRB需要激活加密,比如利用RRCConnection Reconfiguration 消息或 RN Connection Reconfiguration 消息。4. RN根据收到的RRC消息中的指示,对相应的DRB进行配置激活安全保护,并返回 RRC确认消息,比如RRC连接重配置完成消息或RN连接重配置消息。随后RN设备和DeNB将需要加密的特定数据类型放在激活了安全保护的Un DRB 上传输,比如SlAP信令和X2AP信令,或是OAM数据等等。接收方对从激活了相应安全保护的DRB上收到的数据,利用之前配置的对应的算法进行解密。本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种配置传输的方法,其特征在于,该方法包括网络侧设备为不同类型的数据选择用于加密数据的算法;所述网络侧设备将所述算法通知数据传输设备。
2.如权利要求I所述的方法,其特征在于,所述网络侧设备将所述算法通知数据传输设备,包括所述网络侧设备将选择的算法与对应的类型通知数据传输设备;或所述网络侧设备将选择的类型与对应的算法通知数据传输设备。
3.如权利要求I所述的方法,其特征在于,该方法还包括所述网络侧设备将用于承载加密数据的数据无线承载DRB的信息通知数据传输设备。
4.如权利要求I 3任一所述的方法,其特征在于,所述数据类型包括无线资源控制RRC消息、用户数据、应用层数据以及运行和维护OAM数据。
5.如权利要求I 3任一所述的方法,其特征在于,所述网络侧设备将所述算法通知数据传输设备之后,还包括所述网络侧设备根据所述算法对需要发送的对应类型的数据进行加密,以及根据所述算法对收到的对应类型的数据进行解密。
6.一种数据传输的方法,其特征在于,该方法包括数据传输设备接收网络侧设备通知的用于加密数据的算法;所述数据传输设备根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
7.如权利要求6所述的方法,其特征在于,所述数据传输设备接收网络侧设备通知的算法,还包括所述数据传输设备接收所述网络侧设备选择的算法与对应的类型,或接收所述网络侧设备选择的类型与对应的算法;所述数据传输设备对数据进行加密包括所述数据传输设备根据收到的算法,对需要发送的对应类型的数据进行加密;所述数据传输设备对数据进行解密包括所述数据传输设备根据收到的算法,对收到的对应类型的数据进行解密。
8.如权利要求6所述的方法,其特征在于,所述数据传输设备对数据进行加密包括 所述数据传输设备根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密;所述数据传输设备对数据进行解密包括所述数据传输设备根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对收到的对应类型的数据进行解密。
9.如权利要求6 8任一所述的方法,其特征在于,所述数据传输设备发送加密的数据,包括所述数据传输设备根据网络侧设备通知的数据无线承载DRB的信息确定用于承载加密数据的DRB ;所述数据传输设备通过确定的用于承载加密数据的DRB发送进行加密的数据。
10.一种配置传输的网络侧设备,其特征在于,该网络侧设备包括处理模块,用于为不同类型的数据选择用于加密数据的算法;通知模块,用于将所述算法通知数据传输设备。
11.如权利要求10所述的网络侧设备,其特征在于,所述通知模块具体用于将选择的算法与对应的类型通知数据传输设备;或将选择的类型与对应的算法通知数据传输设备。
12.如权利要求10 11任一所述的网络侧设备,其特征在于,所述通知模块还用于 将用于承载加密数据的数据无线承载DRB的信息通知数据传输设备。
13.如权利要求10 11任一所述的网络侧设备,其特征在于,所述设备还包括 第一传输模块,用于根据所述算法对需要发送的对应类型的数据进行加密,以及根据所述算法对收到的对应类型的数据进行解密。
14.一种数据传输的设备,其特征在于,该设备包括接收模块,用于接收网络侧设备通知的用于加密数据的算法;第二传输模块,用于根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
15.如权利要求14所述的设备,其特征在于,所述接收模块还用于接收所述网络侧设备选择的算法与对应的类型,或接收所述网络侧设备选择的类型与对应的算法;所述第二传输模块具体用于根据收到的算法,对需要发送的对应类型的数据进行加密,以及根据收到的算法,对收到的对应类型的数据进行解密。
16.如权利要求14所述的设备,其特征在于,所述第二传输模块具体用于根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对需要发送的对应类型的数据进行加密,以及根据类型和算法的对应关系,确定收到的算法对应的类型,并用收到的算法对收到的对应类型的数据进行解密。
17.如权利要求14 16任一所述的设备,其特征在于,所述第二传输模块具体用于 根据网络侧设备通知的数据无线承载DRB的信息确定用于承载加密数据的DRB ;通过确定的用于承载加密数据的DRB发送进行加密的数据。
18.一种数据传输的系统,其特征在于,该系统包括网络侧设备,用于为不同类型的数据选择用于加密数据的算法,将所述算法通知数据传输设备;数据传输设备,用于接收网络侧设备通知的用于加密数据的算法,根据所述算法对需要发送的数据进行加密,以及对收到的数据进行解密。
全文摘要
本发明实施例涉及无线通信技术领域,特别涉及一种配置传输和数据传输的方法、系统及设备,用以解决现有技术中存在的在Un口上传输S1AP消息和X2AP消息的安全性比较低的问题。本发明实施例提供的一种配置传输的方法包括网络侧设备为不同类型的数据选择用于加密数据的算法;所述网络侧设备将所述算法通知数据传输设备。由于能够对Un口上传输的不同类型的数据分别进行加密,从而提高了在Un口上传输S1AP消息和X2AP消息的安全性;进一步提高了系统的性能。
文档编号H04W12/02GK102612028SQ20121008639
公开日2012年7月25日 申请日期2012年3月28日 优先权日2012年3月28日
发明者杨义 申请人:电信科学技术研究院